东南亚市场机会巨大，但同时存在着诸多挑战和风险，其中包括数据合规管理的挑战。在汽车设计、生产、销售、使用、运维等过程中，必然存在着数据处理工作，必然涉及到个人信息等数据，不当处理个人信息会给企业带来难以承受的法律后果。如何安全合规地对个人信息等数据进行管理，是汽车出海前需要提前规划和考虑的问题。本文将分析车企出海热门目的地之一——泰国的个人数据保护规定，以期帮助车企了解泰国个人数据保护合规要点。

2019年5月泰国公布《个人数据保护法》（PDPA），是泰国颁布的第一部针对数据保护以及个人数据存储的专门法律，该法已于2022年6月1日正式生效。在PDPA发布之后，泰国又发布了一系列配套规定，以明晰PDPA部分规定的适用细则。

本文在梳理泰国相关个人数据保护相关规定后，建议车企遵循以下规则确保自身符合泰国个人数据保护的要求。

1.企业主体在泰国境内；

2.泰国境外企业在泰国境内收集、使用或披露个人数据，并且：

（1）向泰国境内数据主体提供商品或服务（无论是否付款）；

（2）监测到数据主体的行为发生在泰国；

汽车在使用过程中通过汽车传感设备、控制单元采集的数据，就会存在对数据主体信息的收集和后续使用、披露等行为，车企或系统、服务供应商在销售、服务的过程中，也会存在对泰国境内数据主体的数据收集、使用、披露的行为。无论车企出海方式是整车出口，还是在当地投资设厂，都不可避免地存在企业主体本身在泰国境内或数据处理行为发生在泰国境内、服务当地用户的情况，因此，我国汽车出海泰国，相关企业应当遵守PDPA的规定。

1.以明显区别其他事项的方式提出许可请求；

2.告知收集、使用或披露个人数据的目的、必要性、使用期限、可能对外披露的主体类别、数据主体依法享有的权利、企业或企业代表、DPO的联系方式；

3.取得数据主体完全自愿的、以书面声明或电子方式明确作出的同意，例如，车企可以通过使用数据主体的用户名和密码、电子签名、生物识别数据或任何其他电子方式获得同意；

4.保障数据主体随时可以简单易行地撤回许可的权利；

5.数据主体撤回许可，不得影响数据主体已合法授予的个人数据收集、使用或披露，一旦撤回许可会影响数据主体，应当告知撤回许可的后果。